Alex Feleol

Ações, com foco no negócio, para detectar insiders

Olá pessoal, tudo bem?

A situação dos ataques a instituições de pagamento, como o caso da C&M Software, destaca a importância da segurança tanto contra ameaças externas quanto internas.

A detecção de atividades anômalas, especialmente aquelas vindas de dentro da própria empresa, é crucial para prevenir fraudes e, consequentemente, evitar grandes prejuízos.

Vale ressaltar que relatórios de grandes empresas de cibersegurança e institutos de pesquisa mostram que a participação de insiders em incidentes de segurança é significativa. A porcentagem média geralmente varia entre 20% e 34% do total de incidentes.

No entanto, é crucial dividir esses números em dois grupos para entender a verdadeira ameaça:

  • Insiders Maliciosos: São os funcionários ou ex-funcionários que agem com a intenção de causar dano, roubar dados ou obter ganhos financeiros. Eles representam uma porcentagem menor dos casos (por volta de 15% a 25% dos ataques internos), mas são responsáveis pelos incidentes mais custosos e graves.
  • Insiders Negligentes: Este é o grupo mais comum. São funcionários que, por descuido, falta de treinamento ou má prática (como clicar em um link de phishing, usar senhas fracas ou perder um dispositivo), inadvertidamente criam uma brecha de segurança. A maioria dos relatórios de mercado aponta que a negligência é a causa de mais da metade dos incidentes internos, podendo chegar a 56% ou mais dos casos.

Dado esse contexto inicial, abaixo listo algumas ações para detecção e mitigação de insiders e detecção de atividades anômalas.

Ações para mitigar ameaças de insiders (ataques internos)

Ataques internos são perigosos porque vêm de pessoas que já têm acesso e conhecimento privilegiado sobre a empresa. Para se proteger, é fundamental criar barreiras e monitorar o comportamento dos funcionários.

  • Controle de Acesso e Princípio do Mínimo Privilégio: Limite o acesso dos funcionários apenas às informações e sistemas que são estritamente necessários para suas funções. Um desenvolvedor não precisa de acesso a dados de clientes em produção, e um analista financeiro não precisa de acesso a todos os dados de clientes de uma só vez. O princípio do “mínimo privilégio” garante que, mesmo que um insider mal-intencionado tente algo, ele estará restrito a uma área limitada do sistema ou a diversas solicitações que irão disparar um alerta interno.
  • Dupla Autorização: Um processo onde são necessárias duas aprovações distintas para confirmar uma ação, como uma transação financeira ou o acesso a um sistema, sendo um método de segurança para prevenir acessos ou execuções indevidas. Essa abordagem adiciona camadas de segurança ao processo, assegurando que qualquer ação seja devidamente validada por mais de uma via, o que reduz significativamente a probabilidade de erros humanos e, principalmente, atividades maliciosas.
  • Monitoramento de Atividade do Usuário (User Activity Monitoring – UAM): Implemente sistemas que registram e analisam as ações dos funcionários. Ferramentas de UAM podem rastrear acessos a arquivos, uso de aplicações e tentativas de acesso a áreas restritas. Se um funcionário que nunca acessou um determinado banco de dados começa a fazer isso repetidamente, a equipe de segurança é alertada.
  • Controle de Acesso por Funções (Role-Based Access Control – RBAC): Em vez de dar permissões individuais, agrupe-as por funções. Por exemplo, todos os membros da equipe de suporte técnico têm o “papel de suporte”, que lhes dá acesso a certas ferramentas. Isso simplifica a gestão de permissões e ajuda a garantir que ninguém tenha mais acesso do que o necessário. Saiba que tais acessos devem ter uma concessão temporal, ou seja, um espaço de tempo para serem utilizadas, como por exemplo, somente dentro do horário comercial e de segunda a sexta-feira. Isso evita o acesso indevido em horários em que o colaborador não esteja ativo pela empresa.
  • Educação, Treinamento e Denúncias sobre segurança: Crie uma cultura de segurança. Treinamentos regulares sobre a importância de proteger dados, identificar ameaças e seguir protocolos de segurança podem reduzir a probabilidade de um ataque. Porém, vá além, crie um canal de denúncias onde colaboradores possam informar sobre comportamentos ou ações suspeitas de outros colegas. Isso permite que você obtenha informação antecipada e junto com outras áreas como o RH, tenha uma tratativa assertiva e ágil.

Ações para Detectar Atividades Anômalas no Sistema

Detectar comportamentos anômalos é como ter um “radar” interno que identifica padrões fora do comum, como uma transação inesperadamente alta ou uma série de acessos estranhos.

  • Análise de Comportamento de Entidades e Usuários (UEBA): Esta é uma das ferramentas mais eficazes. Um sistema de UEBA usa inteligência artificial e aprendizado de máquina para criar um “perfil de comportamento” normal para cada usuário e entidade (como servidores ou contas de serviço). Ele aprende o que é normal para um funcionário: em que horário ele trabalha, de onde ele acessa o sistema, e quais transações ele costuma fazer. Qualquer desvio significativo desse perfil — como um acesso de madrugada ou uma transação muito acima da média — gera um alerta.
  • Definição de Limites e Regras de Alerta (Threshold-Based Alerts): Estabeleça regras claras para o que é considerado normal e o que não é. Por exemplo:

a) Volume de Transações: Alerte quando um usuário ou sistema processa mais de 100 transações em um minuto, ou quando o valor total das transações de uma conta ou de todas as transações excede um limite pré-definido.

b) Transações de Alto Valor: Configure alertas automáticos para qualquer transação que exceda um valor específico, como R$50.000, exigindo uma aprovação adicional.

c) Acesso em Horários Incomuns: Se um colaborador que trabalha das 9h às 18h acessa o sistema à 3h da manhã, isso pode ser um sinal de alerta.

d) Consulta a inúmeros cadastros: Se um colaborador realiza muitas consultas em um curto período de tempo, ou se o somatório dessas consultas se torna alta em um determinado período pré-definido, pode ser um sinal de consulta indevida, exfiltração de dados ou busca por possíveis vítimas.

  • Correlação de Eventos de Segurança (Security Information and Event Management – SIEM): Um sistema SIEM, ajuda muito neste monitoramento, pois coleta e analisa dados de log de várias fontes (servidores, firewalls, aplicações, etc.) e os correlaciona para encontrar padrões. Ele pode, por exemplo, correlacionar o log de um acesso estranho com o log de uma transação suspeita, criando um cenário mais completo do que está acontecendo e tornando a detecção mais rápida.

Ao combinar essas ações — um forte controle de acesso e monitoramento de atividades — as empresas podem construir um sistema de defesa mais robusto, capaz de identificar e responder rapidamente a ameaças internas e comportamentos anômalos antes que causem danos significativos.

Perceba que não existe bala de prata neste cenário, mas o conjunto dessas ações se bem implementados, pode inibir significativamente as ações de insiders.

Se quiserem debater mais sobre o tema, estarei nos comentários.

Até a próxima!

Deixe um comentário